Ataque hacker em massa mira acesso remoto do Windows: entenda o risco

Serviço RDP do Windows sofre investida recorde de IPs suspeitos, expondo falhas e ameaçando usuários no Brasil e no mundo.

Um ataque hacker de proporções alarmantes está mirando o sistema de acesso remoto do Windows. A empresa de cibersegurança GreyNoise detectou uma atividade anormal e massiva direcionada aos serviços Microsoft Remote Desktop Web Access e RDP Web Client, com dezenas de milhares de tentativas simultâneas de conexão. O cenário é preocupante quando comparado à média normal de apenas 3 a 5 acessos diários a esses serviços.

O dado mais surpreendente é que a grande maioria dessas conexões suspeitas tem origem no Brasil, enquanto os alvos estão concentrados nos Estados Unidos. Especialistas apontam que esta atividade coordenada sugere a ação de uma botnet (rede de dispositivos infectados) ou o uso de ferramentas especializadas para ataques em larga escala.

Os números impressionam: a GreyNoise identificou inicialmente 1.971 endereços IP acessando os serviços de acesso remoto, com 1.851 deles compartilhando características técnicas idênticas. Mais alarmante ainda, cerca de 92% desses IPs já haviam sido marcados como maliciosos em incidentes anteriores. Em questão de horas, o volume saltou para 56.771 tentativas de acesso com assinaturas similares.

Esta mobilização massiva aparentemente explora uma vulnerabilidade conhecida como “falha de tempo”. Os hackers aproveitam uma característica do RDP que responde em tempos diferentes quando um nome de usuário válido é inserido, comparado a quando um nome inexistente é utilizado. Esta diferença sutil no tempo de resposta permite que invasores identifiquem quais contas realmente existem no sistema, sem precisar adivinhar senhas.

Gráfico mostrando o aumento massivo de tentativas de acesso aos serviços RDP do Windows, com picos incomuns de atividade maliciosa
O gráfico da GreyNoise mostra o aumento repentino e anormal de tentativas de acesso ao RDP do Windows, evidenciando uma operação coordenada em larga escala

Motivos e riscos da operação

A GreyNoise acredita que este movimento pode estar relacionado ao período de volta às aulas nos Estados Unidos, momento em que universidades reativam seus sistemas de acesso remoto e criam milhares de novas contas de estudantes. Estes ambientes acadêmicos frequentemente utilizam padrões previsíveis para nomes de usuário (como “nome.sobrenome”), facilitando a tarefa dos invasores de identificar contas válidas.

Outro cenário preocupante é que este aumento repentino nas tentativas de invasão possa indicar a descoberta de uma nova vulnerabilidade ainda não divulgada publicamente. A empresa de segurança observou que picos de atividade maliciosa muitas vezes precedem o anúncio oficial de falhas de segurança, sugerindo que grupos criminosos já estão explorando vulnerabilidades antes mesmo que desenvolvedores e usuários tomem conhecimento delas.

Para empresas e instituições que utilizam o RDP, a recomendação é implementar imediatamente medidas de proteção adicionais. A autenticação de múltiplos fatores (MFA) é considerada essencial para mitigar os riscos. Além disso, especialistas recomendam o uso de VPNs para adicionar uma camada extra de segurança aos serviços de acesso remoto.

O caso serve como alerta para organizações brasileiras, já que o país aparece como origem de grande parte das tentativas de invasão, indicando que dispositivos nacionais podem estar comprometidos e sendo usados como parte desta operação global. Empresas locais devem verificar seus sistemas em busca de atividades suspeitas e garantir que suas políticas de acesso remoto estejam atualizadas com as melhores práticas de segurança.

Fonte: GreyNoise

Postado por
Cearense. 37 anos. Apaixonado por tecnologia desde que usou um computador pela primeira vez, em um hoje jurássico Windows 95. Além de tech, também curto filmes, séries e jogos.
Siga em:
Compartilhe
Deixe seu comentário
Assine nossa Newsletter
Assine nossa newsletter e receba nossa seleção de conteúdo sobre tecnologia, games, IA e internet em seu email.
Veja também
Publicações Relacionadas
Img de rastreio
Localize algo no site!